profesor kodecki
Mar13

Rozdział 5. Wspólne hosty

Ujawnienie danych sesjiNa wspólnym hoście zabezpieczenia nigdy nie są tak szczelne, jak na hoście dedykowanym. Jest to kompromis, który trzeba zaakceptować w zamian za niewygórowaną cenę. Jednym z największych niebezpieczeństw, jakie wiążą się z używaniem wspólnych hostów jest wspólny magazyn sesji. Domyślnie PHP przechowuje dane sesji w lokalizacji /tmp i dotyczy to każdego. Ludzie natomiast mają tendencję do pozostawania przy...

Więcej
profesor kodecki
Mar13

Rozdział 4. Sesje PHP

Ustanawianie sesjiBezpieczeństwo sesji to bardzo szeroka dziedzina i nic dziwnego, że sesje są bardzo częstym celem ataków. Większość z nich polega na podszywaniu się pod kogoś, tzn. atakujący próbuje zdobyć dostęp do sesji innego użytkownika udając, że nim jest.Najważniejszą rzeczą dla napastnika jest identyfikator sesji, bez którego nie da się pod nikogo podszyć. Trzy najpopularniejsze metody zdobywania identyfikatorów sesji...

Więcej
profesor kodecki
Mar13

Rozdział 3. Zabezpieczanie baz danych i SQL

Ujawnione dane uwierzytelniające Większość aplikacji PHP korzysta z baz danych. Najczęściej aplikacja łączy się z wybraną bazą, a następnie dokonuje w niej uwierzytelnienia przy użyciu danych uwierzytelniających: <?php $host = 'example.org'; $username = 'nazwaużytkownika'; $password = 'hasło'; $db = mysql_connect($host, $username, $password); ?> Kod ten może znajdować się w pliku o nazwie db.inc dołączanym do aplikacji zawsze,...

Więcej
profesor kodecki
Mar13

Rozdział 2. Przetwarzanie formularzy

Spoofing zatwierdzania formularzyAby zrozumieć jak ważne jest filtrowanie danych, spójrz na poniższy formularz, który mógłby znajdować się pod adresem http://example.org/form.html: <form action="/process.php" method="POST"> <select name="color"> <option value="red">czerwony</option> <option value="green">zielony</option> <option...

Więcej
profesor kodecki
Mar13

Rozdział 1. Bezpieczeństwo – informacje ogólne

Co to jest bezpieczeństwo? Bezpieczeństwo to miara, nie cecha. W wielu projektach programistycznych bezpieczeństwo określa się tylko jako prosty wymóg, który trzeba spełnić. Czy to jest bezpieczne? To pytanie jest tak samo subiektywne, jak pytanie czy coś jest gorące. Bezpieczeństwo musi być zrównoważone z kosztami. W większości aplikacji uzyskanie względnie wysokiego poziomu zabezpieczeń jest dość łatwe. Jednak w przypadku aplikacji...

Więcej

Przewodnik po zabezpieczeniach aplikacji PHP

Przewodnik po zabezpieczeniach aplikacji PHP organizacji PHP Security Consortium. Kurs zawiera informacje na temat najważniejszych zagrożeń aplikacji PHP oraz technik ich eliminowania.

Więcej